Group Policy Client-Side Extensions CSEs

Bu makalemde sizlere Group Policy Client-Side Extensions (CSEs) konusunda detaylı bilgiler vereceğim. CSE noktasında yazmış olduğum bu makaleyi daha iyi anlamak için öncesinde aşağıdaki gibi GPO Preferences detaylarını paylaştığım makaleyi okumanızı öneririm.

 

Eğer Windows Server 2008 ile hayatımıza giren Group Policy Preferences özelliklerini eski nesil işletim sistemlerinde kullanmak istiyorsanız iki paket dağıtımı yapmanız gerekmektedir.

 

Group Policy Client-Side Extensions (CSEs)

XmlLite

CSEs, istemci makinelerde GPO uygulanması sırasında yüklenen ve sorumluluğu ilgili GPO nun uygulanması olan DLL kütüphanelerine verilen isimdir.

Örneğin Fdeploy.dll, folder redirection için kullanılan bir client side extension’ dır.

 

 

Security CSE security değişikliklerini uygular, diğer bir CSE startup ve logon scriptlerini çalıştırır, diğer bir CSE yazılım yükleme işlemlerini, diğer bir CSE registry değişikliklerinden sorumludur.

Group Policy Client Side Extension Listesine aşağıdaki yol üzerinden ulaşabilirsiniz

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions

 

Tüm liste aşağıdaki gibidir;

GUID:

Component

{00000000-0000-0000-0000-000000000000}

Core GPO Engine

{0E28E245-9368-4853-AD84-6DA3BA35BB75}

Preference CSE GUID Environment Variables

{0F6B957D-509E-11D1-A7CC-0000F87571E3}

Tool Extension GUID (Computer Policy Settings)

{0F6B957E-509E-11D1-A7CC-0000F87571E3}

Tool Extension GUID (User Policy Settings) – Restrict Run

{1612b55c-243c-48dd-a449-ffc097b19776}

Preference Tool CSE GUID Data Sources

{17D89FEC-5C44-4972-B12D-241CAEF74509}

Preference CSE GUID Local users and groups

{1A6364EB-776B-4120-ADE1-B63A406A76B5}

Preference CSE GUID Devices

{1b767e9a-7be4-4d35-85c1-2e174a7ba951}

Preference Tool CSE GUID Devices

{25537BA6-77A8-11D2-9B6C-0000F8080861}

Folder Redirection

{2EA1A81B-48E5-45E9-8BB7-A6E3AC170006}

Preference Tool CSE GUID Drives

{3060E8CE-7020-11D2-842D-00C04FA372D4}

Remote Installation Services.

{35141B6B-498A-4CC7-AD59-CEF93D89B2CE}

Preference Tool CSE GUID Environment Variables

{35378EAC-683F-11D2-A89A-00C04FBBCFA2

Registry Settings

{3610EDA5-77EF-11D2-8DC5-00C04FA31A66}

Microsoft Disk Quota

{3A0DBA37-F8B2-4356-83DE-3E90BD5C261F}

Preference CSE GUID Network Options

{3BAE7E51-E3F4-41D0-853D-9BB9FD47605F}

Preference Tool CSE GUID Files

{3BFAE46A-7F3A-467B-8CEA-6AA34DC71F53}

Preference Tool CSE GUID Folder Options

{3EC4E9D3-714D-471F-88DC-4DD4471AAB47}

Preference Tool CSE GUID Folders

{40B66650-4972-11D1-A7CA-0000F87571E3}

Scripts (Logon/Logoff) Run Restriction

{42B5FAAE-6536-11d2-AE5A-0000F87571E3}

ProcessScriptsGroupPolicy

{47BA4403-1AA0-47F6-BDC5-298F96D1C2E3}

Print Policy in PolicyMaker

{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}

Internet Explorer Zonemapping

{516FC620-5D34-4B08-8165-6A06B623EDEB}

Preference Tool CSE GUID Ini Files

{53D6AB1D-2488-11D1-A28C-00C04FB94F17}

Certificates Run Restriction

{5794DAFD-BE60-433f-88A2-1A31939AC01F}

Preference CSE GUID Drives

{5C935941-A954-4F7C-B507-885941ECE5C4}

Preference Tool CSE GUID Internet Settings

{6232C319-91AC-4931-9385-E70C2B099F0E}

Group Policy Folders

{6232C319-91AC-4931-9385-E70C2B099F0E}

Preference CSE GUID Folders

{6A4C88C6-C502-4f74-8F60-2CB23EDC24E2}

Preference CSE GUID Network Shares

{7150F9BF-48AD-4da4-A49C-29EF4A8369BA}

Preference CSE GUID Files

{728EE579-943C-4519-9EF7-AB56765798ED}

Preference CSE GUID Data Sources

{74EE6C03-5363-4554-B161-627540339CAB}

Preference CSE GUID Ini Files

{79F92669-4224-476c-9C5C-6EFB4D87DF4A}

Preference Tool CSE GUID Local users and groups

{7B849a69-220F-451E-B3FE-2CB811AF94AE}

Internet Explorer User Accelerators/PolicyMaker

{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}

Computer Restricted Groups

{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

Security

{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}

Folder Redirection

{8A28E2C5-8D06-49A4-A08C-632DAA493E17}

Deployed Printer Connections

{91FBB303-0CD5-4055-BF42-E512A681B325}

Preference CSE GUID Services

{942A8E4F-A261-11D1-A760-00C04FB9603F}

Software Installation (Computers).

{949FB894-E883-42C6-88C1-29169720E8CA}

Preference Tool CSE GUID Network Options

{9AD2BAFE-63B4-4883-A08C-C3C6196BCAFD}

Preference Tool CSE GUID Power Options

{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B]

Internet Explorer Maintenance policy processing

{A3F3E39B-5D83-4940-B954-28315B82F0A8}

Preference CSE GUID Folder Options

{A8C42CEA-CDB8-4388-97F4-5831F933DA84}

Preference Tool CSE GUID Printers

{AADCED64-746C-4633-A97C-D61349046527}

Preference CSE GUID Scheduled Tasks

{B087BE9D-ED37-454f-AF9C-04291E351182}

Preference CSE GUID Registry

{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A]

EFS Recovery

{B587E2B1-4D59-4e7e-AED9-22B9DF11D053}

802.3 Group Policy

{B9CCA4DE-E2B9-4CBD-BF7D-11B6EBFBDDF7}

Preference Tool CSE GUID Regional Options

{BACF5C8A-A3C7-11D1-A760-00C04FB9603F}

Software Installation (Users) Run Restriction

{BC75B1ED-5833-4858-9BB8-CBF0B166DF9D}

Preference CSE GUID Printers

{BEE07A6A-EC9F-4659-B8C9-0B1937907C83}

Preference Tool CSE GUID Registry

{BFCBBEB0-9DF4-4c0c-A728-434EA66A0373}

Preference Tool CSE GUID Network Shares

{C418DD9D-0D14-4efb-8FBF-CFE535C8FAC7}

Preference CSE GUID Shortcuts

{C631DF4C-088F-4156-B058-4375F0853CD8}

Microsoft Offline Files

{C6DC5466-785A-11D2-84D0-00C04FB169F7]

Application Management

{CAB54552-DEEA-4691-817E-ED4A4D1AFC72}

Preference Tool CSE GUID Scheduled Tasks

{CC5746A9-9B74-4be5-AE2E-64379C86E0E4}

Preference Tool CSE GUID Services

{cdeafc3d-948d-49dd-ab12-e578ba4af7aa}

TCPIP

{CEFFA6E2-E3BD-421B-852C-6F6A79A59BC1}

Preference Tool CSE GUID Shortcuts

{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}

Internet Explorer Machine Accelerators

{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}

Policy Maker

{CF848D48-888D-4F45-B530-6A201E62A605}

Preference Tool CSE GUID Start Menu

{D02B1F72-3407-48AE-BA88-E8213C6761F1}

Tool Extension GUID (Computer Policy Settings)

{D02B1F73-3407-48AE-BA88-E8213C6761F1}

Tool Extension GUID (User Policy Settings)

{e437bc1c-aa7d-11d2-a382-00c04f991e27]

IP Security

{E47248BA-94CC-49C4-BBB5-9EB7F05183D0}

Preference CSE GUID Internet Settings

{E4F48E54-F38D-4884-BFB9-D4D2E5729C18}

Preference CSE GUID Start Menu

{E5094040-C46C-4115-B030-04FB2E545B00}

Preference CSE GUID Regional Options

{E62688F0-25FD-4c90-BFF5-F508B9D2E31F}

Preference CSE GUID Power Options

{F0DB2806-FD46-45B7-81BD-AA3744B32765}

Policy Maker

{F17E8B5B-78F2-49A6-8933-7B767EDA5B41}

Policy Maker

{F27A6DA8-D22B-4179-A042-3D715F9E75B5}

Policy Maker

{f3ccc681-b74c-4060-9f26-cd84525dca2a}

Audit Policy Configuration

{F581DAE7-8064-444A-AEB3-1875662A61CE}

Policy Maker

{F648C781-42C9-4ED4-BB24-AEB8853701D0}

Policy Maker

{F6E72D5A-6ED3-43D9-9710-4440455F6934}

Policy Maker

{F9C77450-3A41-477E-9310-9ACD617BD9E3}

Group Policy Applications

{FB2CA36D-0B40-4307-821B-A13B252DE56C}

Enterprise QoS

{FC715823-C5FB-11D1-9EEF-00A0C90347FF}

Internet Explorer Maintenance Extension protocol

{FD2D917B-6519-4BF7-8403-456C0C64312F}

Policy Maker

{FFC64763-70D2-45BC-8DEE-7ACAF1BA7F89}

Policy Maker

 

Malum GPO uygulanma noktasında artık baskınlık sırasını biliyoruz. En baskın GPO, uygulanacak olan makine veya kullanıcıya en yakın GPO, aynı uzaklıkta olması durumunda ise, yani bir OU üzerinde bir den çok GPO olması durumunda ise sıra yani ilk sıradaki en baskın oluyordu.

Peki, bir GPO içerisindeki ayarları düşünelim, Administrative Templates, Security Settings, Group Policy Preferences gibi farklı ayarları barındırmaktadır.

İlk olarak Administrative Templates yani kayıt defteri ayarları uygulanır, ardından ise CSE GUID ismine göre alfabetik olarak uygulanır.

GPO çalışma mimarisinde istemciler güncellemeleri sunucu üzerinden çekmektedir, yani sunucu istemcilere değil istemciler sunucudan bu bilgileri talep eder.

Normalde background refresh dediğimiz bir süre zarfında GPO tarafında bir değişiklik var mı kontrol edilir. Eğer bir değişiklik var ise uygulanır. Eğer bir değişiklik yok ise bir daha uygulanmaz.

Siz isterseniz hem background refresh süresini hem de değişiklik olsun olmasın her seferinde GPO nun tekrar ve tekrar bilgisayar – kullanıcı için uygulanmasını sağlayabilirsiniz.

Bu değer çok önemlidir, çünkü bu değer süresince GPO güncellenecek ve bu da hem network üzerinde, hem dc üzerinde ve en önemlisi hem de istemci makine üzerinde bir yük oluşturacaktır. Software Installation ve Folder Redirection dışındaki tüm GPO ayarları tekrar uygulanacaktır.

Varsayılan olarak 90dk olan bu süreyi aşağıdaki yolu izleyerek değiştirebilirsiniz (90 – 120dk arası, random olarak 30dk makine başına eklenmektedir ki hepsi aynı anda gpo isteğinde bulunmasın).

Computer Configuration/Administrative Templates/System/Group Policy/Group Policy Refresh Interval for Computers

Domain Controller makineleri için bu süre 5dk dır.

Configuration/Administrative Templates/System/Group Policy/Group Policy Refresh Interval for Domain Controllers

Bunun dışında birde yukarıda bahsettiğimiz gibi GPO içerisinde birden çok Client Side Extension bulunmaktadır. Bu nedenle siz isterseniz bu yenileme süresi dışında her bir CSE için ayrıca bir yenilenme ayarı yapabilirsiniz.

Varsayılan olarak bir CSE, GPO üzerinde ilgili ayar değişmediği sürece update edilmez. Ancak siz buna rağmen yani değişiklik olsun veya olmasın bu süreç tekrar işletilsin istiyorsanız seçtiğiniz veya tüm CSE için aşağıdaki seçeneği seçebilirsiniz

“Process even if the Group Policy objects have not changed”

 

Ama bu durumun sistem üzerine ciddi bir yük bindireceğini unutmayın. Bu daha çok yerel admin hakkına sahip olan kullanıcıların sizin GPO ayarlarını değiştirdiği ortamlar için uygundur.

Bu durumun tek istisnası Security CSE’ dir. Bu varsayılan olarak 16 saat’ te bir yeniden uygulanmaktadır.

Yine bu konu ile ilgili bir özel durum daha vardır. Uzak şube lokasyonlarında veya çok sağlıklı çalışmayan network yapılarında ( vpn ile bağlantı kurulması durumları ), istemci makinelerin daha hızlı logon olması için sistem GPO uygulanma noktasında ısrarcı olmaz. Hatta bildiğiniz gibi cache credential özelliği ile logon olur. Ancak background refresh süresi sonunda eğer mevcut uygulanan GPO’ dan daha güncel bir GPO var ise bunu alır.

İsterseniz, her makine logon olmadan önce mutlaka güncel GPO yu alsın ve sonra logon olsun istiyorsanız bu durumdaki aşağıdaki ayarı Enable yapmanız gerekmektedir

Computer Configuration\Policies\Administrative Templates\System\Logon

Always Wait For Network At Startup And Logon

 

 

Slow Link Detection için aşağıdaki makaleyi okumanızı tavsiye ediyorum.

http://www.hakanuzuner.com/index.php/group-policy-slow-links-detection-nedir.html

Umarım faydalı bir makale olmuştur. Bir sonraki makalemizde görüşmek dileği ile.

Exit mobile version